La computación en nube en las administraciones tributarias (i)
Introducción
La idea de computador como una nube de servicios es antigua. En 1961 el científico John McCarthy preveía que “la computación debe, algún día, ser organizada como un servicio público, tal como el sistema telefónico”[1]. Asimismo, desde los años 1990, el público tiene acceso a servicios utilitarios basados en Internet, tales como Yahoo!, Google, Gmail, Facebook, YouTube, etc. Salesforce trajo el concepto de proveer servicios remotamente a las empresas, seguido de Amazon.com que en 2002 lanzó la plataforma Amazon Web Services (AWS). Esta plataforma ofrece almacenamiento externo, recursos computacionales y funcionalidades de negocio.
Actualmente la computación en nube está arraigada especialmente en empresas privadas. Empresas “nuevas”, tales como Netflix, Uber y Airbnb ya nacen sin un departamento operativo de TI. Empresas tradicionales también ya utilizan, en alguna medida, computación en nube, tales como Shell, Nasdaq, Ticketmaster, Unilever.
El NIST[2] define la computación en nube como “un modelo que permite acceso de red ubicuo, conveniente y bajo demanda a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados, con un mínimo esfuerzo administrativo o de interacción con el proveedor de servicios”.
Las tecnologías que viabilizan la computación en nube son: tecnologías de virtualización (redundancia y tolerancia a fallas); computación en grid; redes de banda ancha; tecnologías de data center; tecnologías Web; tecnologías multitenant (permite que una aplicación sea configurada para soportar el acceso de múltiples grupos de usuarios de distintas empresas).
Motivaciones organizacionales
La adopción de la computación en nube está basada en algunas motivaciones organizacionales[3]:
Reducción de costos
La propiedad de la infraestructura tecnológica puede impactar decisivamente en los presupuestos organizacionales. Se destacan dos costos: el de la inversión (computadores, Data Centers, almacenamiento, equipos de red, etc.) y el de su mantenimiento y operación. Los costos operacionales principales son:
Se refiere al proceso de determinar y proveer la demanda futura de los recursos de TI, productos y servicios para la organización. La disconformidad entre los recursos de TI disponibles y su demanda puede resultar en un sistema ineficiente (exceso de capacidad) o inepto para satisfacer las necesidades de los usuarios (escasez de capacidad). Ambos casos son problemáticos, en el primero están los costos de la inversión y del mantenimiento de infraestructuras no utilizadas; en el segundo, el desempeño general de la institución es afectado, además que obtener capacidad informática adicional a corto plazo es dificultoso, en especial para el área pública. Los conceptos de nube proveen la flexibilidad operativa requerida.
Agilidad institucional
Las instituciones necesitan adaptarse y evolucionar satisfactoriamente frente a cambios de factores internos y externos. La “agilidad institucional” es la medida de la capacidad de respuesta de una institución al cambio.
Ejemplificando, en las administraciones tributarias, se puede identificar la necesidad de realizar a corto plazo un programa especial o campaña no repetible, que requiera recursos informáticos a ser liberados (parcial o totalmente) al final de la misma. La agilidad institucional es requerida para la obtención expedita de estos recursos, pues la indisponibilidad o atraso puede afectar los resultados pretendidos, así como liberar los mismos y sus costos asociados al final de la campaña.
Modelos de entrega de servicios
Un “modelo de entrega” representa el conjunto de servicios empaquetados ofrecidos por un proveedor de computación en nube. Son básicamente tres modelos de entrega servicios[4], conforme la Figura 1:
- IaaS (Infraestructura como un Servicio): es el suministro de una infraestructura de computación accesible y gestionada por la Internet. El usuario aumenta o reduce de acuerdo a su demanda y paga por lo que utiliza. Los recursos son básicamente un Data Center y sus equipos, tales como servidores, almacenamiento, firewalls, etc. La responsabilidad del proveedor es gestionar la infraestructura ofrecida y el utilizador adquiere, instala, configura y gestiona su proprio software (tales como sistema operativo, base de datos, aplicativos).
- PaaS (Plataforma como un Servicio): el servicio de PaaS es un ambiente de desarrollo e implantación completo, que soporta el ciclo de vida de una aplicación y que incluye infraestructura (Iaas) y sistema operativo, middleware, herramientas de desarrollo, base de Datos, Business Intelligence (BI) y otras herramientas acordadas. El proveedor adquiere, mantiene las licencias y realiza la gestión de las herramientas que suministra (dependiendo del acuerdo concertado).
- SaaS (Software como un Servicio): permite a los usuarios contratar una solución completa, tales como un aplicativo de rol de pagos, herramientas de oficina o un ERP. Toda la infraestructura subyacente – desde computadores hasta sistemas operativos, middleware aplicativos y dados – permanecen en el Data Center del proveedor del servicio de nube. Regido por un contrato de servicio, el proveedor garantiza la calidad, seguridad y disponibilidad acordadas.
La provisión de servicios en nube es contratada con parámetros muy bien definidos, que caracterizan los servicios, precios, condiciones técnicas, métodos de verificación, multas, finalización, etc. Algunos parámetros típicos de contratos de servicios en nube:
Proveedores de servicios en nubeEs creciente el número de empresas proveedoras de servicios en nube, con una miríada de diferenciales de servicios. A nivel internacional, se puede mencionar Amazon (AWS), Microsoft (Azure), Google (Cloud Platform), IBM (Cloud), Verizon (Cloud), Oracle, etc. Algunas empresas proveen nubes especializadas por clientes, tales como nubes dedicadas al sector público y a la comunidad de agencias de inteligencia[6]. Compañías de software empresarial, como Oracle y SAP, crearon versiones de sus productos para funcionamiento en nube y los ofrecen también en nubes propias (SaaS).
Elegir un proveedor de servicios en nube es una cuestión estratégica, en especial para agencias públicas como las administraciones tributarias, que incluye también variables legales y disponibilidades locales. Adoptar servicios en nube inicialmente de modo limitado, por ejemplo como almacenes de datos, puede ser una buena estrategia para conocer y profundizarse en las tecnologías involucradas.
Riesgos y desafíos
Como toda nueva tecnología que involucra cambios en procesos de trabajo y modelos de gestión, la computación en nube trae riesgos y desafíos que deben ser conocidos y mitigados para que los beneficios puedan ser asumidos por las instituciones[7]. Algunos son generales, a ser tratados por todas las instituciones. Otros son inherentes a instituciones públicas, por sus características singulares.
i) Generales
a) Vulnerabilidades adicionales de seguridad
Colocar datos gubernamentales en la nube significa que la seguridad de los mismos será compartida con el proveedor de los servicios en nube. Es importante discutir con el proveedor todos los aspectos relacionados con la seguridad, visando implementar de parte a parte medidas para mitigarlas, reflejando lo acordado en contrato. La confidencialidad de los datos es crítica para el área tributaria y técnicas de criptografía deben ser aplicadas. Reciente publicación en The Wall Street Journal apunta que los mayores problemas de seguridad en la nube son debidos a configuración incorrecta de software, en lo general por incapacidad de los técnicos involucrados[8].
b) Controlo operativo reducido
Obviamente la gobernabilidad operativa en la nube será menor que la obtenida en centros de datos propios. Como ejemplos, un proveedor de servicios en nube puede no respetar los acuerdos de nivel de servicios establecidos, amenazando la calidad del servicios del contratante; una larga distancia geográfica entre proveedor y contratante puede introducir latencias y restricciones de banda. Estos problemas pueden ser mitigados con contratos formales, acuerdos de niveles de servicios, monitoreo e inspecciones técnicas. Todo lo contratado debe ser monitoreado para validación de conformidad.
c) Portabilidad limitada entre proveedores de servicios en nube
No existen estándares formales para el uso de servicios en nube, lo que puede dificultar la migración de un servicio a otro. Por lo general los contratantes de servicios en nube adoptan estrategias propias para no depender de un único proveedor o para utilizar múltiples proveedores. La administración tributaria del Reino Unido es un ejemplo.
d) Reacción ante el cambio
Las reacciones al cambio son aquellas que representan costo, pérdida o amenaza, sean estas reales o meramente basadas en percepciones. En el caso de computación en nube, la sensación de pérdida del control directo sobre el ambiente informático y la tendencia de reducción del staff de TI son las mayores amenazas.
La primera puede ser atenuada con contratos detallados y un enfoque paso-a-paso, migrando los servicios a la nube paulatinamente. La segunda, no se trata solamente de percepción. Es la realidad.
[1] http://www.cloudmarket.com.br/blog/cloud-computing/infografico-historia-cloud-computing/
[2] National Institute of Stardard and Technology, de los Estados Unidos.
[3] http://whatiscloud.com/origins_and_influences/business_drivers Esta publicación es utilizada como fuente de muchos conceptos e ideas de este documento. Se recomienda su lectura completa a quiénes se interesen por la tecnología de computación en nube.
[4] Conceptos adaptados de https://azure.microsoft.com/en-us/overview/what-is-azure/
[5] http://whatiscloud.com/cloud_delivery_models/index
[6] http://www.computerweekly.com/news/450430639/AWS-announces-Secret-cloud-region-for-Intelligence-Community-agencies
[7] Se utilizó como referencia informaciones del portal http://whatiscloud.com/
[8] https://www.wsj.com/articles/an-unexpected-security-problem-in-the-cloud-1505700061
5,552 total views, 5 views today
11 comentarios
La nube esta pensado también para las micro y pequeñas empresas. Realmente en estos casos es una reducción de costos??
Estimado Ivan, gracias por la participación.
El uso más común seria utilizar almacenamiento en nube para back-ups. Varios servicios en nube de este tipo están disponibles (Google y otros).
Pero hay usos más amplios, como SaaS. Los paquetes de software de contabilidad y/o ERP para PYMEs están avanzando en la nube. Por ejemplo, el paquete “Primavera”, muy utilizado por pequeñas y medianas empresas en Portugal y países lusófonos, ya tiene versiones en la nube. En México y otros países de América Latina también hay software ERP para PYMEs propios en la nube, además de paquetes de proveedores internacionales. Hay que evaluar los precios y servicios, pero probablemente utilizar un ERP en la nube tendrá costos más bajos que una copia en sus instalaciones informáticas propias, con mayor garantía de seguridad y calidad en el servicio.
Software de back-office y correo electrónico son otras áreas que la migración hacia la nube está fuerte, también en las PYMEs.
Cada caso es un caso, dependiendo de lo que se pretende (IaaS, PaaS, SaaS) y del contexto local, pero probablemente PYMEs que mantengan su propia infraestructura informática (en especial equipos servidores y personal de TI) pueden obtener dividendos con la nube. Hay que evaluar los proveedores y servicios disponibles en su región, niveles de servicios adecuados y los respectivos costos.
Por lo general si usted invita proveedores de servicios de nube para proponer soluciones para las condiciones propias de su PYME, podrá evaluar si vale la pena ir a la nube.
muy buen articulo Antonio mis felicitaciones¡¡ Estoy convencido que con la nueva tecnología las Administraciones Tributarias pueden ser mucho mas eficientes.
Gracias, Alfredo.
La segunda parte, a ser publicada, tratará de temas más cercanos a la problemática de adopción de computación en nube por instituciones públicas y administraciones tributarias.
Saludos.
muchas gracias Antonio, estare atento a ese articulo
Saludos
Un saludo. Excelente artículo.
Un tema que parece delicado en la implementación de estas tecnologías para la administración de información gubernamental, es el relacionado con las responsabilidades asociadas a los incidentes de seguridad. Al menos en Colombia aún es un reto.
Si hubiese fuga, pérdida, alteración o mal uso de los datos, quién debe asumir la responsabilidad y cómo se tipifica en un hecho sancionable? Sería responsabilidad del proveedor, del director de TI de la Administración Tributaria o de alguien más? Qué deberían contemplar las normas de contratación pública para atender estas realidades tecnológicas?
Si tienes bibliografía o experiencias al respecto, agradezco la referencia.
Felicidades,
Gracias por el comentario.
De hecho, es un tema importante tratar de los aspectos legales involucrados en el manejo de datos confidenciales cuando entregados por administraciones tributarias (AT) a terceros, sean ellos subcontratistas, instituciones públicas o privadas. Yo creo que es inalienable la responsabilidad final de la administración tributaria, aunque técnicamente la responsabilidad sobre la seguridad sea compartida entre contratante y contratado. Los arreglos de seguridad deben constar del contrato de servicios y deben ser evaluados y monitorizados de modo permanente. Cuando un problema de seguridad sea causado por un proveedor de servicios, el mismo podrá ser penalizado de distintas formas, así como sus gestores, pero la responsabilidad final frente a los contribuyentes es de la AT.
Asimismo, los servicios informáticos en nube no son los primeros a plantear estos problemas en los sistemas tributarios. Es decir, otros servicios manejados por administraciones tributarias que implican en el tratamiento de datos tributarios por entidades externas (públicas o privadas) ya tuvieron que establecer reglas y condiciones relacionadas con la confidencialidad de estos datos. Uno de los ejemplos son los acuerdos multilaterales de intercambio de datos. Dos otros ejemplos, ambos mencionados en la parte (ii) de esta publicación:
En México, un Proveedor Autorizado de Certificación (PAC) es una instancia autorizada por el SAT para generar, procesar y certificar los comprobantes fiscales digitales. Así, empresas privadas manejan documentos de los contribuyentes bajo sigilo fiscal. Para ser un “PAC”, una empresa debe someterse a determinadas evaluaciones, reglas y condiciones, incluyendo aspectos de seguridad, de acuerdo al documento “Obligaciones del Proveedor de Certificaciones” (http://www.sat.gob.mx/informacion_fiscal/factura_electronica/Paginas/obligaciones_pac.aspx).
En los Estados Unidos, el IRS estableció un conjunto políticas, prácticas, controles y salvaguardias a ser cumplidas por agencias, agentes y contratistas que tengan acceso a informaciones tributarias federales, contenidas en el documento “Publication 1075” (https://www.irs.gov/pub/irs-pdf/p1075.pdf). El servicio de nube de Amazon para el gobierno de Estados Unidos ya informó su conformidad con estas reglas.
ATs actualmente definen una Política de Seguridad de la Información (PSI), que trata de los problemas relacionados a la confidencialidad, integridad y disponibilidad de los datos de los contribuyentes y las consecuencias por su no cumplimiento. Estas políticas – caso sea necesario – deben ser adaptadas para resguardar servicios de terceros y, en consecuencia, servicios en nube. Como ejemplo, ver la PSI de la Receita Federal do Brasil – (http://normas.receita.fazenda.gov.br/sijut2consulta/link.action?idAto=27903&visao=anotado).
Más reciente, la PSI del Ministerio da Fazenda de Brasil – (http://www.fazenda.gov.br/pmimf/frentes-de-atuacao/tecnologia/download-de-arquivos/resolucao-ctic-no-10-de-10-de-agosto-de-1017.pdf)
Países también establecen políticas para protección de informaciones de los ciudadanos almacenados en sus bases de datos, que proveen el contexto general para otras políticas particulares. La Unión Europea constituyó una ley de protección de datos personales, que establece las responsabilidades del gobierno e instituciones públicas o privadas que manejen datos de los ciudadanos considerados confidenciales, incluyendo la responsabilidad de los subcontratistas – versión de esta ley para Portugal en (https://dre.pt/web/guest/pesquisa/-/search/239857/details/maximized)
Es un tema importante en los días actuales de subcontratación, outsourcing e intercambio internacional de informaciones tributarias, y se está abierto para otras contribuciones más especializadas (tales como abogados tributarios y afines).
Muchas gracias
La realidad y la legislación de cada país afecta directamente en indirectamente el uso del cloud.
En Perú la ley de contrataciones del Estado no prevee el uso de esta tecnología y por ende no permite utilizar características como elasticidad, porque eres elástico hasta donde contrataste, si necesitas mayor procesamiento o almacenamiento no se puede pagar fácilmente.
Otro tema son os niveles de servicio porque si el servicio del proveedor está abajo el problema de que los contribuyentes no puedan pagar sus impuestos recae en ti y no es tercerizado.
La reserva tributaria es importante porque por lo general los data Center de los proveedores están en diferentes países que probablemente no comparten la política de reserva del país
Las administraciones tributarias poco a poco deben de iniciarse en esta tecnología pero sin descuidar su core de negocio y el servicio que se le brinda a los contribuyentes.
Sr. Martin Alvarez, gracias por su comentario.
Realmente el sector público tiene situaciones propias en el contexto del uso de computación en nube. La parte (ii) de esto Post trata de estas particularidades, incluyendo ejemplos de estrategias adoptadas por las AT de algunos paises (https://www.ciat.org/la-computacion-en-nube-en-las-administraciones-tributarias-ii/).
Este contenido me ha sido de gran ayuda.